none
Šifrování, kryptování

    Dotaz

  • Dobrý den,
    máme na firmě přibližně 50 notebooků, ve kterých máme cenná firemní data. Tyhle data bychom potřebovaly zašifrovat. Využíváme OS od WIN XP po WIN 7.
    Požadavky:
    2 hesla (jedno uživatelovo a jedno centrální), centrální- aby se administrátor mohl vždy dostat k datům. Našel jsem, že windows podporuje nějaké šifrování a nějakou synchronizaci hesel s active directory? Podporuje winxp nějaké šiforvání, všiml jsem si přes pravé tlačítko vlastnosti? Nebo obecně jaký nástroj, třeba i komeršní byste mi poradily?

    Děkuji předem
    17. února 2010 12:31

Odpovědi

  • Zacni tim ze:
    - kazdy z lidi kteri budou mit prava obnovovat sifrovane soubory (=recovery agentu) si necha vygenerovat od CA cesi COKOLIV na disku zasifruje a pak to klide smazne aby na tuti mel vygenerovany certifikat
    - vyexportujes jejich certifikaty a verejne klice pomoci cipher /x. ULOZIS JE DO TREZORU V OBALCE S HESLEM.
    - pokud mas v domene CA vygenerujes jim samozrejme certifikaty tam
    - pres nekterou prihodnou (napr. celodomenovou) GP (comp-win-security-public key- EFS) pridas tyto verejne klice mezi rec. agenty
    - overis ze se GP aplikovala na nejakou zkusebni stanici. Nech domenoveho Frantu na teto stanici zasifrovat adresar a presvedc se ze je sifrovan i pro agenty z kroku vyse

    Pak uz jen over ze se do sifrovanych souboru dostane jen Franta a agenti

    Je to z rychliku, ale pokud jsem na neco zapomnel prijdes na to urcite sam :-P
    http://technet.microsoft.com/en-us/library/cc778448(WS.10).aspx atd

    MP

    17. února 2010 13:35
    Vlastník

Všechny reakce

  • man EFS :)

    Pri prvnim pouziti se vygeneruje uzivateli klic kterym je sifrovano. Dale si (pres GP) nastav jednoho ci vice Recovery Agentu, tzn. uzivatelu resp. jejich klicu jimiz bude take sifrovano a kteri tedy budou moci v pripade potreby desifrovat data.

    Pokud bys nemel XP tak samozejme BitLocker

    MP

    P.S. vzhledem k tomu ze se EFS klice ukladaji do registry to neni uplne neprustrelny system :(
    P.P.S. koukam ze jste vylozene zensky kolektiv. kde vas najdeme?
    17. února 2010 12:34
    Vlastník
  • No ještě jsem zapomněl, že NB jsou převážně na cestách, tudíž je problém spojení se ze serverem. Tudíž EFS kvůli registrům nedoporučujete? Jinak rozsah systému je WIN(XP-7).
    17. února 2010 12:52
  • Nebude, cert se nakesuje

    K bezpecnosti: pokud budou mit uzivatele silna hesla neprolomitelna napr. pomoci rainbow tables/ophcrack bude EFS RELATIVNE bezpecny. Pokud si heslo napisou na papirek v kapse brasny NTB nepomuze ani Bitlocker.

    MP
    17. února 2010 12:54
    Vlastník
  • A mohl byste mi trošinku naznačit, jak to rozjet? Nepodařilo se mi najít, nějaký dobrý návod, EFS funguje i na WIN 7?
    17. února 2010 13:23
  • Zacni tim ze:
    - kazdy z lidi kteri budou mit prava obnovovat sifrovane soubory (=recovery agentu) si necha vygenerovat od CA cesi COKOLIV na disku zasifruje a pak to klide smazne aby na tuti mel vygenerovany certifikat
    - vyexportujes jejich certifikaty a verejne klice pomoci cipher /x. ULOZIS JE DO TREZORU V OBALCE S HESLEM.
    - pokud mas v domene CA vygenerujes jim samozrejme certifikaty tam
    - pres nekterou prihodnou (napr. celodomenovou) GP (comp-win-security-public key- EFS) pridas tyto verejne klice mezi rec. agenty
    - overis ze se GP aplikovala na nejakou zkusebni stanici. Nech domenoveho Frantu na teto stanici zasifrovat adresar a presvedc se ze je sifrovan i pro agenty z kroku vyse

    Pak uz jen over ze se do sifrovanych souboru dostane jen Franta a agenti

    Je to z rychliku, ale pokud jsem na neco zapomnel prijdes na to urcite sam :-P
    http://technet.microsoft.com/en-us/library/cc778448(WS.10).aspx atd

    MP

    17. února 2010 13:35
    Vlastník
  • Tak to studuji, podle mě tohle není dobrá varianta, protože certifikát je uložen v registru a v dnešní době, není problém heslo do windows prolomit za 10 minutm tudíž mám přístup k certifikátu nebo se pletu? Děkuji
    18. února 2010 7:18
  • Psal jsem neco jineho?

    Cemu rikas PROLOMIT HESLO DO WINDOWS? Heslo je treba ZJISTIT

    MP
    18. února 2010 9:35
    Vlastník
  • Teď jsi nejsem jistý, jestli si rozumíme. Psal jste, že certifikáty se ukládají v registrech a v dnešní době když ukradnu nb, tak heslo do winxp prolomím během několika minut, tudíž mám certifikát a přístup k datům nebo se pletu?

    Vezmu jedno bootovatelné CD a jsem tam.
    18. února 2010 10:31
  • jsi kde? Jak jsem psal vyse:
    - ani rainbow tables based crack nezjisti OPRAVDU SILNA HESLA
    - certifikat je v registru samozrejme zasifrovany. pokud uzivateli ZMENIM heslo nedostanu se k nemu

    MP
    18. února 2010 11:04
    Vlastník